企業的信息安全建設思路
當今時代,信息技術飛速發展,信息網絡廣泛普及,信息已成為事關全局的一種戰略資源。但信息技術也是一把雙刃劍,一方面,極大的便利了人類的生產和生活,網絡技術的發展使得地球成為一個大村落:另一方面,由于信息技術的脆弱性和不完善性,使得在信息的存儲、處理、傳輸過程中很容易被干擾、遺漏和丟失,甚至被泄漏、竊取、篡改和冒充,因此,信息安全成為企業信息化過程中不可或缺的要素。
隨著信息化應用的日益廣泛,企業的信息系統中存儲的大量有價值的信息和數據已成為各種網絡犯罪組織和惡意勢力的攻擊目標,網絡非法行為日趨復雜,且更為頻繁,各種攻擊方法相互融合,攻擊手段更為隱秘,破壞性更強,攻擊從網絡層向應用層遷移。但是,我們也應該看到,信息安全雖然是由信息技術問題引起的,但信息安全問題的解決不能夠單純地由技術問題入手,還得從系統的、管理的角度切入,一個完美的解決安全問題的技術方案在現實中是不存在的.而且用信息技術解決信息技術的脆弱性和不完善性有可能帶來另外的脆弱性和不完善性。因此.信息安全中的技術問題是—個關鍵問題,不能解決全部問題。信息安全界有句名言:三分技術,七分管理,安全和管理是分不開的。即使有再好的安全設備和系統,而沒有一套良好的安全管理制度、管理方法并貫徹實施,信息安全問題就是空談。許多出現信息安全事故的單位,要么是有安全管理制度但沒有執行,要么就是沒有安全管理制度。
一、信息系統的安全風險評估
所謂信皂系統的安全風險,是指由于系統存在的脆弱性、人為或自然的威脅導致安全事件發生的可能性及其造成的影響。風險評估是分析分析確定風險的過程。任何系統的安全性都可通過風險的大小來衡量。
網絡信息系統得安全建設應該建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統得信息安全評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,才可以避免重復建設和投資的浪費。信息安全風險評估是風險平估理論和方法在信息系統中的運用,是科學分析理解信息和信息系統在機密性、完整性、可用性等方面所面臨的風險,并在風險的預防、風險的控制、風險的轉移、風險的補償、風險的分散等之間做出抉擇的過程。所有信息安全建設都應該是基于信息安全風險評估,只有在正確地、全面地理解風險后,才能在控制風險、減少風險之間做出正確的判斷,決定調動多少資源、以什么樣的代價、采取什么樣的應對措施去化解、控制風險。在風險評估中,最終要根據對安全事件發生的可能性和負面影響的評估來識別信息系統的安全風險。造成信息安全事件的源頭,可以歸為外因和內因。外因為威脅,內因則為脆弱性。因此,在風險評估中要刻意刻畫信息安全事件,就必須對威脅和脆弱性都有深入了解,這構成了風險評估工作的關鍵。
要確保信息網絡系統得安全高效,就必須建立和完善信息安全風險評估機制,也就是要構建一個“發現隱患、制定對策、提高強度、效果認證”的封閉式、反饋型、非線性的評估系統。同時,信息網絡在建設規劃階段必須進行風險評估以確定系統的安全目標:在工程驗收階段一定要進行效果認證和風險在評估以判定系統得安全目標達成與否:在運行維護階段要針對安全形勢和問題,進行制度化的風險評估工作,以確定安全措施的有效性和決定是否采取隔離或實施升級行動,以確保安全保障形勢始終維持在期望的目標水平之上。
信息安全風險評估有助于信息化建設的有序開展,促進信息安全保障體系得完善,提高信息系統的安全防護能力。其目的是借助科學的評估體系和技術方法,弄清本單位信息安全的基本態勢和網絡環境安全狀況,及時采取或完善安全保障措施,確保信息安全策略和方針在常態化中得到貫徹與執行。對于企業具體涵蓋的內容來說,首先要明確企業的哪些資產需要保護:企業必須花費時間與精力來首先確定關鍵數據和相關的業務支持技術資產的價值。通常,各公司認為表述資產的價值是很容易的,但具體如要按級別界定就不那么簡單。對此,就需要用安全廠商與企業共同制定規范以確定需要保護的資產的安全級別,并為制定切實可行的安全管理策略打下基礎。另外,還需完成威脅識別的任務:如果企業想增強競爭實力,必須隨時改進和更新系統和網絡,但是機會增加常伴隨著安全風險的增加,尤其是機構的數據對更多用戶開放的時候——咽為技術越先進,安全管理就越復雜。所以企業為了消除安全隱患,下—步就需要安全廠商與企業一起必須要對現有的網絡、系統、應用進行相應的風險評估,確定在企業的具體環境下到底存在哪些和安全隱患。在此基礎上,制定并實施,完成安全策略的責任分配,設立安全標準:幾乎所有企業目前都有策略,只不過許多策略都沒有書面化,只作為完成任務的一種手段。恰當的安全策略必須與機構的所有業務需求直接相關。它基于幾類安全標準。標準分類將使企業能發現違反策略的行為,并指出每個區域的漏洞或潛在安全威脅區。最后,管理還應包括安全廠商與企業共同組織的對企業安全管理^員進行安全培訓,以便維護和管理整個的實施和運行情況。
企業的網絡信息系統必須按照風險管理的思想,對可能存在的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。目前,信息安全等級保護是發達國家保護關鍵信息基礎設施,保障信息安全的通行。
二、信息安全等級保護
(一)信息安全等級保護和風險評估的關系
1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》規定計算機信息系統實行信息系統安全等級保護。2003年中央辦公廳、國務院辦公廳轉發的徊家信息化領導小組關于加強信息安全保障工作的意見)中明確提出: “要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息系統安全等級保護制度,制定信息系統安全等級保護的管理辦法和技術指南”。2004年公安部等四部委《關于信息系統安全等級保護工作的實施意見》也指出: “信息系統安全等級保護制度是國家在國民經濟和社會信息化的發展過程中,提高信息安全保障能力水平,維護國家安全、社會穩定和公共利益,保障和促遺信息化建設健康發展的—項基本制度”。等級保護工作的核心是對信息安全分等級,按標準進行建設、管理和監督。風險評估做為信息安全工作的一種重要技術手段,為系統安全等級保護的定級、測評和整改等工作階段提供重要依據,在實施信息安全等級保護周期和層次中發揮著重要作用。在等級保護周期的系統等級階段中,依提信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、以及系統自身脆弱性的嚴重程度進行識別和關聯分析,判斷信息系統應采取什么強度的安全措施,然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內:在安全實施階段,按照風險評估標準,對現有系統進行評估和加固,然后進行安全設備的部署,對在安全實施過程中也會發生事件并可能帶來長期的隱患,風險評估能及早發現并解決這些問題:在安全運維階段,按照風險評估標準開展定期和不定期的風險評估以便幫助確認它保持的安全等級是否發生變化。
風險評估的技術手段包括有系統審計、漏洞掃描和滲透測試,他們在等級保護的各個層。
(二)等級保護制度的落實
目前,國家通過制定統一的信息安全等級保護管理規范和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全防護,對等級保護工作的實施實行監督、管理,從而大力推行信息化建設的全面發展,但是,絕大多數的信息系統得運營、使用單位依舊采用傳統的工作方式解決等級保護工作中的一系列問題,尤其是相對數量的信息安全等級保護工作的職能部門,他們在落實等級保護工作中存在很大的問題,表現在以下幾個方面:
一是信息系統安全等級保護工作認識不深刻、重視不到位。信息系統得安全性問題不僅僅是用戶自身財產安全的問題,其所有者應當承擔相應的社會安全和公眾利益安全的義務。然而,部分執行部門在開展等級保護工作中從始至終都在被動的應付監管部門的檢查,這種思想上的不重視給監管部門工作開展帶來困難的同時,也阻礙整個信息系統安全等級保護工作的開展;二是信息系統安全等級保護工作管理無序、缺乏約束力。目前,—部分執行單位他們對信息系統安全等級保護工作組織開展、管理實施無從下手,甚至對相關法律、政策和標準還不是很清楚,同時沒有各自內部專門機構對等保工作實施監督:三是執行單位的安全分工不清,沒有建立相應得安全職能部門,這使得在安全等級保護工作中無法確定各相關部門的職責,從而無法落實安全責任制。
針對這些問題,建立信息安全管理組織是做好信息安全等級保護工作的必要條件。
1.建立信息安全管理組織的必要性
一個單位應該也必須建立信息安全管理組織,這個組織是這個單位在信息系統安全方面的最高權力組織。信息安全是所有管理層成員所共有的責任,一個管理組織應確保有明確的安全目標。在一個單位內部,有關信息安全的工作需要一個強有力領導機構來領帶和推動,這是由于:1)首先是一些單位的業務對信息系統形成了完全的依賴,另外信息安全會導致對社會公眾利益、社會秩序和國家安銷告成侵害,甚至是嚴重的侵害。2)在一個單位中多個部門的信息任務既有聯系又有相對的獨立性,而這些任務又是這個單位全部信息任務的組成部分,所有這些都需要—個強有力的機構進行協調和指導。3)全員使用的信息系統中不同員工在其中所對應的是不同的角色,在工作中的權限也有4)—個單位對信息系統安全所采取的各類措施和決策是需要權威機構來審批和決定的。
2.信息系統使用單位的安全管理機構的職能包括
1)信息系統安全管理就夠負責與信息安全有關的規劃、建設、投資、人事、安全政策、資源利用和事故處理等方面的決策和實施。2)負責與各級國家安全信息安全監管機構、上級主管部門和技術保衛機構建立日常的工作關系。3)組織、協調、指導計算機信息系統得安全開發工作。4)建立健全本系統的系統保護規程、制度。5)確定信息安全各崗位人員的職責和權限、建立崗位責任制。6)審議并通過安全規劃、年度安全報告、與信息安全相關的安全宣傳、教育培育計劃。7)執行信息安全報告制度,定期向當地公安信息安全監管部門報告本單位信息安全保護管理情況,及時報告重大安全事件。8)安全審計跟蹤分析和安全檢查,及時發現安全隱患和犯罪嫌疑,防患于未然,將可能的攻擊拒之門外。9)負責向所屬組織或機構的領導層匯報工作,積極爭取領導層對信息安全的支持。1 0)信息發布的審核管理。
三、結束語
這種現代化、信息化的以等級保護為核心的信息安全管理體系,不僅有助于職能部門解決其使用傳統方式開展登記保護所導致的問題,也為各職能部門積極主動地解決自身安全問題提供了有效幫助。根據企業實際情況,進—步發展完善,加強定級對象信息系統整體防護,建設管理中心支持下的計算環境、區域邊界、通信網絡三重防護體系結構,做好操作人員使用的終端防護,把住攻擊發生的源頭關,做到操作使用安全,以防內為主,內外兼防,提高計算節點自身防護能力,減少從外部入口上封堵,做到不同級別信息系統安全保護技術和管理逐級增強。
【編輯推薦】
